Protección de datos – Ley de protección de datos en España – Equal LOPD

Entradas

CÓMO CONTROLAR TU HORARIO LABORAL

Según información del diario “ABC”, y como se informa y comenta en todos los medios de comunicación, ha entrado en vigor  el pasado domingo, día 12 de mayo, la normativa que obliga a las empresas a registrar las jornadas de trabajo y las horas extras de sus empleados.

La falta de planificación de la medida ha dejado a las empresas al borde del caos tras la nueva normativa del registro horario obligatorio.

La nueva legislación obliga a las empresas a llevar un registro de la jornada laboral de sus empleados y, consecuentemente, de las horas extraordinarias que se realizan. Este año se están haciendo 5,7 millones de horas extras cada semana, según el INE, de las que solo se pagan poco más de la mitad (53,6%).

Este control horario puede realizarse de distintas formas, en función del acuerdo al que lleguen la dirección de la empresa y los representantes de los trabajadores, como recoge la ley.

Los principales sistemas de registro, son los siguientes:

  1. Aplicaciones o plataformas digitales: Es el método que más se está implantando y uno de los más prácticos, pues puede ser utilizado tanto por los trabajadores que están en un lugar fijo como lo que se desplazan por la calle, los que realizan teletrabajo o los que están a turnos, mediante el móvil de cada empleado, tableta o pc.
  2. Claves o «pin»: La empresa facilita una clave o código a cada trabajador que este introduce en un aparato colocado en la entrada de la empresa. Esta clave o «pin» también puede ser introducida en el ordenador o tableta de trabajo.
  3. Tarjetas: Es el sistema tradicional. Pero cada vez más las empresas lo están sustituyendo por las nuevas tecnologías.
  4. Reconocimiento de huella: Aunque empezó a aplicarse en las empresas que requieren una mayor seguridad, actualmente se está extendiendo su instalación. La empresa debe informar previamente al trabajador y que este dé su consentimiento. La Agencia de Protección de Datos ha planteado algunas quejas sobre este sistema.
  5. Reconocimiento facial y del iris: Es el método más moderno y no siempre el más fácil, pues requiere de cierto entrenamiento por parte de los empleados. El único problema que presenta es el elevado coste de los aparatos. Su coste puede superar los 600 euros.
  6. Reconocimiento vascular: El registro identifica a los trabajadores mediante su «mapa» de venas en los dedos y/o manos. Es lo último de lo último, pero también es el sistema más caro.
  7. Hojas de «excel»: Es el sistema más básico de control horario y sigue siendo muy eficiente.
  8. Geolocalización: Hay aplicaciones que, además de registrar el comienzo y el final de la jornada de trabajo, geolocalizan al trabajador en esos momentos. Algunas apps incluso realizan una fotografía. Su instalación debe de ser conocida previamente por el empleado. Suele ser utilizado en empresas de transporte y de reparto, colocando los dispositivos en los vehículos de empresa. En estos casos, constituye además un sólido sistema de seguridad ante cualquier accidente o robo.

 

Ahora bien, ¿cómo inciden estos sistemas de “fichar” en la legislación sobre protección de datos?

Hay que recordar que la Agencia Española de Protección de Datos (AEPD) ha venido desde hace tiempo sentando doctrina en el sentido de que cualquier sistema de “fichar” para llevar a cabo el control de la jornada laboral debe ser el menos intrusivo posible. Ahora, con esta nueva norma, ha vuelto a incidir en ello.

La Agencia apela a la importancia de aplicar el principio de «minimización» y que se ponderen las obligaciones y los derechos de los afectados, y en ese sentido ha incidido en que el sistema de control que se emplee sea, como decimos, el menos intrusivo posible.

En este sentido, algunas formas de “fichaje”, como el “reconocimiento fácil” o, sobre todo, el sistema de “reconocimiento vascular”podrían ser considerados como sistemas que no respetan ese procedimiento de “no intrusividad”, pudiendo y recomendándose optar por otros alternativos.

Por otro lado la Agencia recuerda también que para la implementación del registro de jornada no se precisa el consentimiento del trabajador, pero ello no excluye que sí deba recibir la preceptiva información sobre la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con él.

Las pymes y la protección de datos

Según información del diario “El País”, tal y como sabemos, en los últimos años se han puesto en marcha diversas normativas para limitar el uso de nuestros datos y hacer que podamos saber en todo momento quién tiene acceso a ellos, para qué puede usarlos y cómo los ha conseguido.

La norma más importante y de mayor calado fue el Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2016 y que desde el 25 de mayo del año pasado es de obligado cumplimiento en España. Su incumplimiento puede conllevar multas y sanciones que alcanzan los 20 millones de euros, en el peor de los casos.

Dos años de margen tuvieron entidades públicas, organizaciones y empresas para adaptarse a la nueva forma de gestión de la información. Sin embargo, aún hay rezagados que siguen sin aplicar las nuevas normas o no lo hacen correctamente.

Como resumen, indicar que cumplir con el deber de información, esto es, que se debe informar a los titulares de los datos de quién es el responsable del tratamiento, las finalidades que se persiguen, si existen cesiones a terceros y la dirección postal o electrónica donde el titular pueda solicitar sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento o portabilidad. Todas las empresas están obligadas a informar por cualquier canal a sus clientes de estos cambios.

En segundo lugar, indicar que el consentimiento para el tratamiento de datos deja de ser tácito, debe de haber una clara acción afirmativa. El responsable de los datos debe tener pruebas de ese consentimiento.

Se deben además registrar las actividades de tratamiento. El RGDP obliga a informar y tener  disposición, tanto a los propios usuarios como a la AEPD, sobre la recopilación de los datos y el objetivo de la misma. La antigua inscripción de ficheros (vigente con la anterior LOPD 15/1999) es ahora sustituida por ese registro de actividades de tratamiento efectuadas por cada responsable y, en su caso, encargado del tratamiento de datos. Ese registro incluye, entre otra información, los fines, las categorías de destinatarios a quienes se comunicaron o comunicarán los datos, las transferencias de datos personales a un tercer país, etc.

También se debe realizar un análisis de riesgos y adoptar medidas de seguridad. No es posible asegurar el derecho fundamental a la protección de datos si no se es capaz de garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales. Si hubiera incidentes de seguridad, se debe comunicar a la autoridad competente, en este caso la AEPD. En determinados casos también hay que avisar a las personas cuyos datos personales se hayan visto afectados por la violación.

El RGPD define el tipo de contrato que debe vincular al responsable de los datos con el encargado de los mismos. En él se deben especificar la relación y las obligaciones de ambas partes ante la prestación del servicio acordado. Si existiera un contrato vigente previo a mayo de 2018, cuando entró en vigor el reglamento, es imprescindible incluir una cláusula al respecto que sea firmada por las partes.

Quizás sea este el momento de valorar si el organismo o empresa encargada del tratamiento de los datos de mi compañía es el más adecuado y aclarar situaciones en las que puede ser difícil distinguir cuándo estamos frente a un encargado o a un responsable del tratamiento.

Conviene designar un delegado de protección de datos, además de aquellas entidades que están obligadas, para coordinar la adaptación para el correcto cumplimiento de las medidas del reglamento.

Por último, se debe atender correctamente los derechos de los ciudadanos. Nos referimos al derecho de acceso (para conocer y obtener información sobre sus datos de carácter personal sometidos a tratamiento), de rectificación (el ciudadano puede solicitar la corrección de errores y la modificación de los datos que resulten ser inexactos o incompletos), de cancelación (cualquier persona puede solicitar que se supriman sus datos) y de oposición (puede negarse a que se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo).

Las denuncias internas dentro de la lopd

El nuevo sistema previsto por la ley contribuye al cumplimiento de la normativa.

Según información del diario económico “Cinco Días”, la nueva Ley Orgánica de Protección de Datos (LOPDGDD) que vio la luz el día 5 de diciembre del pasado año 2018, bajo la denominación “Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales”, es algo más que una continuación del Reglamento, tiene sus propias novedades.

Una de ellas se refiere a la figura  del Delegado de protección de datos, que, aunque recogido ya en el Reglamento General de Protección de Datos, es preciso que cuente con unas cualidades determinadas para poder desarrollar unas funciones concretas.

Básicamente, se trata de tener experiencia suficiente en la protección de los datos personales. La nueva ley española determina que los colegios profesionales y sus consejos generales deben proceder a designar su delegado de protección de datos e inscribirlo en el registro habilitado a tal efecto en la Agencia Española de Protección de Datos, organismo público responsable de velar por el cumplimiento de esta materia.

Otra de las novedades, en concreto, es el artículo 24 de la nueva LOPD, que trata del sistema de información de denuncias internas.

El sistema de información de denuncias internas ha sido introducido en la nueva LOPD por la propia Agencia Española de Protección de Datos para facilitar la responsabilidad proactiva de las personas jurídicas en el cumplimiento de la normativa de protección de datos.

Con el objetivo de prevenir la comisión de delitos relacionados con esta materia, para exonerar la responsabilidad penal de aquellas entidades que mostrasen suficiente diligencia, ya se trata de uno de los derechos fundamentales reconocidos en la Constitución española para los ciudadanos.

La implantación de este sistema es de carácter voluntario, pero aconsejable, dado que se trata de una medida técnica y organizativa a través de la cual se ponen en conocimiento de la propia organización, las posibles infracciones de la normativa de protección de datos, tanto desde su propio seno, por parte de cualquiera de los miembros que lo integran, como por parte de terceros (el caso de los encargados del tratamiento de los datos personales).

Para favorecer esta colaboración es indispensable que la organización informe previamente a empleados, miembros de la directiva y terceros de la implantación del sistema de información de denuncias internas.

Todo ello garantizando la confidencialidad de la identidad del denunciante, permitiendo realizar la denuncia de forma anónima y restringiendo el acceso, dentro y fuera de la organización, a la información que dicha denuncia aporte.

Este sistema es un mecanismo de ayuda para el delegado de protección de datos en el desarrollo de sus funciones, sobre todo, en la supervisión del cumplimiento de la normativa y de las políticas de privacidad implantadas, en la concienciación dentro de la organización e incluso como un punto relevante en la formación para su personal.

La importancia de llevar el sistema de información de denuncias internas como una de las instrucciones para el encargado en el contrato de tratamiento de datos personales por parte de terceros y por cuenta del responsable.

Con estas medidas, se consigue hacer tanto a los empleados y miembros de la directiva como a terceros fieles aliados, en la lucha contra el uso fraudulento de los datos.

¿Es legal el control laboral con cámaras?

Según información que recoge el Diario “Cinco Días”, uno de los ámbitos en el que la irrupción de las nuevas tecnologías está provocando mayor litigiosidad es el de las relaciones laborales, con especial incidencia en los límites del control que el empresario puede ejercer sobre la actividad de los trabajadores.

A este respecto, en los últimos años ha resultado especialmente conflictiva la videovigilancia de los trabajadores en el seno de las empresas.

En la nueva Ley Orgánica de Protección de Datos, en vigor desde diciembre,  que adapta el Reglamento Europeo, se regula expresamente cómo debe llevarse a cabo esta práctica, en concreto en su artículo 89.

Hace unos días, un Juzgado de los Social de Pamplona dictó la primera sentencia que se apoya en la nueva normativa.

En el caso concreto enjuiciado se analiza el despido disciplinario de un empleado que es captado por las cámaras de seguridad peleándose con otro trabajador de su misma empresa en el parking de esta. El trabajador impugnó la prueba basada en las imágenes, argumentando que la entidad no había informado sobre la finalidad del sistema de grabación, alegación que el juez acepta, declarando nulos los vídeos. Sin embargo, al existir testigos que acreditaban la disputa, falló a favor de la empresa, declarando válido el despido.

Si solo hubieran existido las grabaciones como único medio de prueba, la demanda del trabajador se habría estimado.

Recogiendo la doctrina del Tribunal Europeo de Derechos Humanos (TEDH), la nueva LOPD determina que los empleadores “habrán de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores” de dos circunstancias:

  • La primera, de la propia instalación de las cámaras de seguridad.
  • La segunda, que las imágenes que estas capten pueden ser utilizadas para el control laboral.

Esta segunda circunstancia, la de informar de la finalidad concreta del uso de las cámaras con fines de control laboral, que la empresa no efectuó, es el argumento que el Juez acoge para no admitir las grabaciones como medio de prueba válido.

El deber de información, por tanto, es doble y no se entiende satisfecho si la empresa se limita a colocar junto al circuito un cartel informativo genérico, sino que, además, debe advertir a la plantilla de la grabación puede dar lugar a acciones disciplinarias.

En esta misma dirección, el juzgado de Pamplona subraya en su sentencia que “quedan absolutamente prohibidas las grabaciones encubiertas u ocultas, que es tanto como decir no informadas”.

Otro de los fallos más comunes, es la grabación en zonas no permitidas, como vestuarios o baños, lo que “vulnera el derecho a la intimidad del trabajador”.

Debemos insistir en que en todo caso la empresa debe informar personalmente a cada trabajador, así como a los representantes sindicales, por medios que acrediten la recepción de dicha comunicación.

Si lo que captan las cámaras es un delito (el robo de material de la empresa, por ejemplo), el Tribunal Supremo declaró que, en caso de delito, bastaba, para que la prueba fuera válida, que el trabajador conociera la instalación de las cámaras. La nueva ley orgánica parece sumarse a esta tesis al aseverar que si se ha captado “la comisión flagrante de un acto ilícito” (ni siquiera lo circunscribe a delitos), del deber de informar se entiende cumplido si hay aviso de la existencia de la videovigilancia.

El juzgado de Pamplona, sin embargo, rechaza que sea admisible esa rebaja de las garantías. “Conviene no confundir la legitimidad del fin con la constitucionalidad del medio para su consecución”, advierte, en defensa de los derechos fundamentales.

Las notificaciones de multas según la nueva ley de protección de datos

Según informa el diario económico “Cinco Días”, una de las novedades destacadas que introdujo la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), está en la identificación de los interesados en las notificaciones de actos administrativos que contengan datos personales como multas o sanciones, donde se identificará a los afectados sólo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

Hasta ahora, la identificación incluía nombre, apellidos y número de documento completos, con el consiguiente impacto en la privacidad de los ciudadanos, precisamente por actos de la Administración. Las multas o los resultados de oposiciones son actos que se notifican con frecuencia por estas vías, y que exponen a los individuos, pues su DNI completo era fácilmente localizable hasta la LOPDGDD.

Esta solución ayudará para que no se indexen estos nombres y apellidos de modo que algunos datos de los ciudadanos puedan resultar menos obvios en la nueva era de Internet.

La Agencia Española de Protección de Datos (AEPD), ante las consultas recibidas por las autoridades de protección de datos sobre cómo interpretar la mención a las cuatro cifras numéricas aleatorias, ha emitido unas orientaciones con el fin de facilitar un criterio práctico, aunque provisional, hasta que se aprueben normas administrativas al respecto.

El sistema consiste en seleccionar aleatoriamente un grupo de cuatro cifras numéricas, que deberían ser las mismas en todas las publicaciones. Según recoge el documento de la AEPD, “el procedimiento para la determinación de forma aleatoria de las cuatro cifras numéricas a publicar del código de identificación de un interesado se realizó mediante el proceso de selección aleatoria en una bolsa opaca de una bola de entre cinco bolas numeradas del 1 al 5, realizado el 27 de febrero de 2019 en la AEPD. La bola resultante fue la número 4”, de modo que de los documentos (DNI, NIE, etc.): se publicarán los dígitos que ocupen las posiciones cuarta, quinta, sexta y séptima; mientras que los caracteres alfabéticos, y aquellos numéricos no seleccionados para su publicación, se sustituyen por un asterisco. El nombre no aparecerá, solo las siglas.

El documento se publica en coordinación con la Autoridad Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía.

Recordemos que el nuevo marco normativo obliga a una responsabilidad proactiva y trazabilidad que también afecta a los organismos públicos y que puede demostrarse previendo riesgos como este mediante herramientas que ayudan y guían en el cumplimiento de la normativa de protección de datos.

Utilidad del registro de delegados de protección de datos

En una publicación de la Agencia Española de Protección de Datos, se trata sobre el beneficio que puede tener el Registro de Delegados de Protección de Datos para el ciudadano.

Un registro creado con el objetivo de facilitar el acceso a las empresas u organismos y a los propios ciudadanos, para todas aquellas cuestiones y reclamaciones que tengan que ver con la protección de sus datos.

En el supuesto de que una persona quiera oponerse a que una empresa continúe enviándole publicidad, la percepción ciudadana es de imposibilidad, pero ahora, cuando se trata de dirigirse a la empresa u organismo que está tratando sus datos para ejercer los derechos que establece la normativa de protección de datos o para plantearle una queja o una reclamación, tiene al Delegado de Protección de Datos (DPD).

Para localizarlo, puede resultar de gran utilidad el Registro de Delegados de Protección de Datos ya que, con sólo conocer el organismo o empresa a la que quiera dirigirse, está disponible la información necesaria para ponerse en contacto.

El Delegado de Protección de Datos es una figura clave para ayudar a las organizaciones y empresas a cumplir con el Reglamento General de Protección de Datos (RGPD), además de ser el interlocutor con los ciudadanos en todas las cuestiones relacionadas con la protección de datos, incluyendo las reclamaciones.

El Reglamento General de Protección de Datos indica que contar con un delegado de protección de datos es obligatorio para organismos y autoridades públicas, así como para aquellas entidades que realicen tratamientos de datos que requieran una observación sistemática a gran escala o tratamientos masivos de categorías especiales de datos y, en todo caso, para las entidades recogidas en el artículo 34.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Además, las empresas que no están obligadas a tener un DPD, pueden también designarlo voluntariamente.

El Reglamento General de Protección de Datos recoge que los responsables o encargados del tratamiento deben publicar los datos de contacto de los DPD y comunicar esa designación a la autoridad de control correspondiente, en este caso, a la Agencia Española de Protección de Datos.

En la actualidad, casi 25.000 responsables (tanto organismos públicos como entidades privadas) han notificado a la Agencia los datos de contacto de su Delegado de Protección de Datos.

El Registro de Delegados de Protección de Datos, se actualiza diariamente, se encuentra disponible para todas aquellas personas que estén interesadas en conocer los datos de contacto del DPD de una empresa o institución.

Por último, para ejercitar tus derechos o presentar una reclamación ante una entidad puedes buscar el contacto introduciendo el nombre o NIF de la organización en el Registro en la AEPD.

Alerta sobre los pocos dpo notificados a la aepd

Según informa el diario económico “Cinco Días”, la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, ha mostrado su preocupación por el bajo número de delegados de protección de datos (DPO) que han sido comunicados al organismo (la nueva normativa exige su notificación).

Según dijo, tienen 21.000 notificaciones, de las cuales no llegan a 3.000 las relativas al sector público. Teniendo en cuenta que hay 20.000 organismos públicos en este país, señaló que algo pasa, en su intervención en el IV Encuentro Cumplen que se celebra en Madrid.

Mar España también mostró sus dudas sobre si todas las empresas y organizaciones privadas que tienen la obligación de designar un DPO están cumpliendo con ello.

“17.000 delegados frente a más de tres millones de empresas que hay en nuestro país. Ya veremos sin son el 100%. Lo iremos comprobando en función de las reclamaciones. “

Recordemos que la Ley obliga a las organizaciones tales como Centros sanitarios, (clínicas obligadas a mantener el historial médico de los pacientes), Centros Educativos, Fundaciones, Asociaciones, Promotores e intermediarios inmobiliarios, etc… a designar un Delegado de Protección de Datos que cuente con la debida cualificación jurídica y experiencia, a garantizarle los medios necesarios para el ejercicio de sus funciones y a notificar la designación a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos.

En otros supuestos, la designación de un Delegado de Protección de Datos será voluntaria. No obstante, en ciertos casos puede ser recomendable, pues la nueva LOPD contempla como un atenuante en caso de sanción el hecho de haber designado un DPO de manera voluntaria.

Debemos recordar que el Delegado de Protección de Datos no tiene responsabilidad a título personal, por las posibles infracciones en materia de protección de datos cometidas por su organización.

Certificación para el delegado de protección de datos

La certificación para ser Delegado de protección de Datos, no es obligatoria y se puede ejercer la profesión sin estar certificado bajo este o cualquier otro esquema, si bien la Agencia Española de Protección de Datos, ofrece como referencia un esquema (Esquema de Certificación de Delegados de Protección de Datos (Esquema AEPD-DPD), sobre los contenidos y elementos de un mecanismo de certificación como garantía para acreditar la cualificación y capacidad profesional de los candidatos a DPD.

En el documento, se indica que las únicas entidades que pueden certificar delegados de protección de datos son aquellas que han sido acreditadas por ENAC conforme a la norma UNE-EN ISO/IEC 17024:2012 y en el ámbito de la aplicación del Esquema de Certificación de Delegados de Protección de Datos.

En este momento, la certificación es voluntaria y está disponible a través de un proceso transparente. Pero el responsable del Tratamiento de Datos en la Empresa debe pensar que las características que debe tener esta figura: capacidad, conocimientos y experiencia, es mejor que estén certificadas o acreditadas correctamente.

La certificación de personas es una herramienta válida para la evaluación objetiva e imparcial de la competencia de un individuo para realizar una actividad determinada. La ulterior declaración pública hecha por el certificador proporciona al mercado una información útil y contrastada sobre los criterios aplicados a las personas para obtener la certificación profesional.

La validez y vigencia de las reglas del Esquema se asegura a través de la involucración activa de expertos y de representantes de las diferentes partes interesadas en su desarrollo. La competencia técnica de las entidades de certificación involucradas y su alineamiento con los requisitos fijados por el Esquema, así como de su actuación sistemática e imparcial, se consigue a través de su acreditación por parte de la Entidad Nacional de Acreditación (en adelante, ENAC), de acuerdo con requisitos de normas internacionales para la certificación de personas.

Las Entidades de Formación deberán solicitar a las Entidades de Certificación el reconocimiento de sus programas de formación siguiendo los requisitos establecidos en el apartado 6.3. Si fuera preciso, se publicarán por la AEPD los requisitos de reconocimiento exigibles tanto a los programas de formación como a las entidades impartidoras de los mismos en lo relativo a contenido, duración mínima de la formación, método de validación, requisitos relativos al personal formador, a los medios o las instalaciones, aprovechamiento, etc.

Las Universidades Españolas, públicas o privadas, podrán solicitar a la AEPD el reconocimiento de sus programas de postgrado (Master) tanto los que estén certificados por la Agencia Nacional de Evaluación de la Calidad y Acreditación (ANECA) como los Master propios.

El reconocimiento se realizará siempre que el Master cumpla con los requisitos establecidos en el Esquema. En la solicitud de reconocimiento, la Universidad deberá indicar qué programa del Esquema desea que sea reconocido (180, 100 O 60 horas) y en función del mismo ajustar el temario del Master a los dominios según la distribución detallada atendiendo a los dominios definidos en el Esquema. La Universidad debe adjuntar junto a su solicitud, un informe justificativo en el que se indique con detalle la correspondencia de los contenidos del Master con relación al programa del Esquema que desea reconocer.

la AEPD hace balance

Según el portal digital “Confilegal” se ha celebrado una jornada sobre  Protección de Datos y su órgano regulador, donde se presentó el libro “25 años de la AEPD: acompañando al ciudadano en su transformación digital”, que describe la evolución de la sociedad española en conexión con la historia, hitos y actividad de la Agencia desde sus comienzos en 1993, así como el desarrollo de este derecho fundamental. En el acto estuvieron cinco de los seis directores de la Agencia Española de Protección de Datos (AEPD) en su primer cuarto de siglo.

En el acto inaugural estuvieron Dolores Delgado, ministra de Justicia, y Pío García Escudero, presidente del Senado, que señalaron la importancia de la protección de datos en nuestra sociedad y la necesidad de una nueva regulación nacional para adaptarse al RGPD.

El libro “25 años de la AEPD: acompañando al ciudadano en su transformación digital” repasa de forma cronológica los progresos tecnológicos más significativos de los últimos 25 años y retrata cómo el uso de las herramientas digitales ha transformado la actitud y los hábitos cotidianos de las personas. Asimismo, aborda la no siempre fácil relación entre tecnología y privacidad, y la necesidad de información acerca de los posibles riesgos que implica proporcionar datos de carácter personal.

Uno de los momentos más interesantes tuvo que ver con la intervención de los directores de la AEPD. El primero, Juan José Martin- Casallo, director entre 1993-98, no pudo acudir por encontrase enfermo. Juan Manuel Fernández, director entre 1998 y 2002, José Luis Piñar, al frente de 2002 a 2007, Artemi Rallo, durante los años 2007-2011 y José Luis Rodríguez, en el periodo de 2011-2015. Por último, Mar España, actual dirigente.

Todos ellos destacaron la calidad de su equipo de profesionales, escaso, para las obligaciones que tienen que asumir, así como la necesidad de trabajar con la sociedad para crear en nuestro país una cultura de privacidad aún sin consolidar.

Para Mar España el puesto de director de la AEPD ha sido uno de los más dinámicos que ha ejercido a lo largo de su carrera profesional. Reconoce que parte de su labor en los dos últimos años ha sido el de tender puentes con el sector privado, especialmente para que los empresarios pierdan el miedo a la Agencia.

La actual responsable del regulador español en materia de privacidad mostró su satisfacción por el Plan Estratégico 2015-19 que ha puesto en marcha, “prácticamente a coste cero con la ayuda del equipo de profesionales de la Agencia”. Un plan donde el apoyo y el trabajo de difusión del RGPD que entró en vigor el pasado 25 de mayo ha sido importante. Desde la AEPD se han editado todo tipo de guías didácticas para que el empresario entienda el nuevo concepto de privacidad que llega.

Al mismo tiempo, España es consciente de los retos que se plantean a corto y medio plazo. La adaptación al RGPD por parte de las aprobada en el Senado, ayudará a conocer diferentes conceptos que el propio Reglamento dejaba algo difusos. El propio Grupo del Artículo 29, formado por los reguladores europeos, ahora se transforma en el Comité Técnico Europeo con informes vinculantes.

Precisamente otro reto que plantea esta experta en privacidad es que los diferentes reguladores existentes en la UE trabajen de la misma forma y tengan el mismo régimen sancionador en cuestiones parecidas. También habrá que ver cómo colaboran a nivel transfronterizo cuando el asunto implique a entidades o ciudadanos de varios países.

La nueva LOPD le otorgará categoría de Secretaria de Estado frente a la actual Subdirección General de la que depende. Pese a la asunción de nuevas competencias, para este año el presupuesto de la Agencia se ha incrementado en un 0,85 % respecto al año pasado y su plantilla un 14% desde el 2015, “datos insuficientes para afrontar tanta carga de trabajo”.

En estos meses, tras la entrada en vigor del RGPD, las consultas a la AEPD se han multiplicado, al igual que denuncias e incidencias. Sobre brechas de seguridad, se han recibido alrededor de 300, de las cuales 11 están estudiándose por la inspección. “Las tres sanciones a Facebook que la AEPD interpuso en los últimos años han sido las más cuantiosas de la historia de la entidad” aclaró.

El código penal castiga el mal uso de los datos

Según informa el diario económico “Cinco Días”, el control y tutela informática de los datos personales reservados de común protección en el marco normativo europeo, ha dado lugar a que conductas amplias se integren y castiguen con severidad en nuestro Código Penal.

En un mundo en el que se publica de todo, donde la vida privada se ha convertido en un escaparate de moda, en la época de Twitter y de Instagram, el Tribunal Supremo acaba de confirmar una condena de tres años y medio de prisión, inhabilitación absoluta durante seis años y multa de dieciocho meses a razón de 6 euros diarios, responsabilidad civil aparte, por un delito de descubrimiento y revelación de secretos del artículo 197.2 del Código Penal.

El Alto Tribunal acepta los hechos probados de la sentencia dictada por la Audiencia Provincial de Madrid y considera típica la conducta de una funcionaria que accedió al sistema de consultas de la Tesorería General de la Seguridad Social y facilitó los datos obtenidos a un periódico digital.

El derecho a la intimidad adquiere una nueva dimensión que va más allá de la tradicional protección del secreto y que se manifiesta especialmente en las facultades de control que tiene el individuo sobre la información relativa a su esfera privada.

El actual artículo 197.2 del Código Penal, introducido por la Ley Orgánica 1/2015 de 30 de marzo, en aplicación de la Directiva 2013/40/UE, tutela la denominada libertad informática o habeas data, bien jurídico distinto del derecho a la intimidad, que se identifica con el derecho a controlar el uso de los datos personales y familiares, incluyendo la capacidad de oponerse a que sean utilizados para fines distintos de aquel que justificó su obtención.

De esta forma, se protegen todos aquellos datos que su titular mantiene ocultos a los demás, lo que en la práctica alcanza a todos los datos que se encuentren en ficheros almacenados.

El Tribunal entiende que la expresión «legítimamente autorizado» no debe confundirse con la posibilidad genérica de acceso, sino que es necesaria una habilitación específica de acuerdo con los fines que justificaron la obtención de los datos.

En el caso enjuiciado, el Alto Tribunal explica que, si bien la recurrente estaba autorizada para acceder al sistema en cumplimiento de sus funciones laborales específicas, dicha autorización no ampara los accesos de curiosidad personal o las consultas injustificadas y mucho menos la captación y divulgación de los datos.

La protección penal que el artículo 197.2 del Código Penal otorga a la libertad informática no es de amplio espectro de conductas, que recoge el precepto.

Se sancionan con la pena de prisión de uno a cuatro años y con multa de doce a veinticuatro meses, aplicándose en su mitad superior cuando las conductas afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual.

Protección de datos, el valor actual de la privacidad

Según información del diario económico “Cinco Días”, la Comisión de Justicia del Congreso, y posteriormente el Pleno de 18 de octubre, han aprobado los pertinentes trámites del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los derechos digitales.

La negociación no ha sido precisamente sencilla y ha obligado a encajar muchas sensibilidades. Los expertos exigían la simplificación de un Proyecto ciertamente complejo en origen. Las autoridades autonómicas demandaban el respeto de su marco competencial y el diseño de un modelo coordinado y armónico.

El proceso de información pública y el trámite de enmiendas pusieron de manifiesto los problemas e inconsistencias que acompañan a todo Proyecto de Ley. Y para introducir complejidad en la ecuación, se ha abordado la inserción de un título dedicado a la garantía de los derechos digitales.

Por otra parte, se ha modificado profundamente el Estatuto de la Agencia Española de Protección de Datos apostando por un modelo de comisionado parlamentario. La presidencia será propuesta por el Gobierno y ratificada por el Congreso atendiendo a criterios de mérito y capacidad y acompañada por un adjunto escogido de igual modo. El esfuerzo ha sido sin duda ímprobo y el resultado meritorio.

El impacto en nuestro Derecho y economía de esta norma, es muy importante, estamos asistiendo al nacimiento de un conjunto de normas que deberían ayudarnos a introducirnos en el proceso de la transformación digital.

No sólo se trata de tener en cuenta el Reglamento General de Protección de Datos, la LOPD, o la Ley de seguridad de las redes y sistemas de información. Debemos estar muy atentos a la gestación de los reglamentos e-Privacy y e-evidence, a la revisión de la Directiva sobre reutilización de datos del sector público, o a una posible nueva norma sobre uso de datos.

Pueden destacarse aspectos muy significativos de la nueva LOPD: videovigilancia, relaciones laborales y controles empresariales, sistemas de denuncias internas, ampliación de los supuestos de nombramiento de un delegado de protección de datos, mantenimiento de los ficheros Robinson y del deber de bloqueo, clarificación del régimen sancionador, desconexión digital, derechos de los menores, entre otros.

Pero sin duda, existe un elemento nuclear que afecta al conjunto de la norma: nuestra privacidad.

En España la garantía del derecho fundamental a la protección de datos y el compromiso de los poderes públicos en dotar de relevancia y protección a este derecho se mantiene y profundiza. Ello implica que tanto el sector público, como el privado, deben rediseñar sus procesos pensando en privacidad.

El futuro de la transformación digital implica un compromiso compartido en el diseño de la privacidad que implique a los sectores y se oriente a la definición de objetivos viables para los derechos y para la digitalización.

Cook elogia a la UE

Según informa el diario “El País”, Tim Cook, actual director ejecutivo de Apple ha elogiado a la Unión Europea por la legislación respecto a la Protección de Datos.

Apple no se ha convertido en la empresa con más valor de la historia gracias al comercio de datos, sino mediante la venta de productos de diseño útiles, aunque también carísimos. Por eso, la protección de la privacidad apenas representa un problema para la compañía.

Sus rivales tecnológicos —Amazon, Facebook y Google— obtienen sus beneficios multimillonarios gracias a la información sobre sus clientes.

Los elogios que llegan desde Silicon Valley son dignos de atención, sobre todo teniendo en cuenta que la jefa de protección de datos de Facebook también se pronunció ante al Parlamento Europeo a favor de una normativa parecida a la de la UE para Estados Unidos.

Las grandes tecnológicas defienden las normas europeas y contradicen el rechazo de su propio Gobierno a la regulación de datos de Bruselas.

El principal argumento es que resulta evidente que Silicon Valley se toma en serio la protección de los consumidores de Internet que la UE va a imponer de ahora en adelante bajo la amenaza de sanciones draconianas.

Hasta ahora, los gigantes tecnológicos habían desplegado libremente su aspiradora de datos por todo el mundo. En los primeros tiempos de la Red, la resistencia en contra era pequeña debido a que los servicios gratuitos ofrecidos parecían de gran utilidad, pero, sobre todo, porque poca gente se daba cuenta del riesgo que ello entrañaba para la esfera privada y, en consecuencia, para las libertades individuales. Las empresas pronto se volvieron tan grandes e importantes que apenas se podía hacer nada contra su poder de influencia, especialmente en su mercado nacional.

La Unión Europea ha dado la vuelta radicalmente a las reglas del juego, y lo ha hecho de tal manera que las consecuencias alcancen a los colosos de Internet. De ello se podrán beneficiar no solo los ciudadanos de la Unión Europea. Dado que el flujo de datos, dinero y mercancías suele rebasar inevitablemente el territorio de la Unión.